В ушедшем году наши исследователи выявили уязвимостей в российских продуктах почти в три раза больше, чем в 2023-м. В новом году количество таких брешей продолжит увеличиваться. Нас ждет больше новостей о трендовых уязвимостях в отечественном ПО: с ростом его доли на рынке все больше атакующих будут стремиться исследовать и эксплуатировать его недостатки. А вот совершать атаки на аппаратные решения в 2025 году станет намного сложнее. Взлом железа смогут позволить себе немногие киберпреступники, так как это потребует больших затрат и очень высокого уровня экспертизы.
Мы продолжаем знакомить вас с трендами кибербеза. В этой статье расскажем про уязвимости в железе и ПО, о том, что не так с российским софтом и каких уязвимостей ждать в 2025-м.
Белый хакинг против атакующих: как опередить злоумышленника
За 11 месяцев 2024 года команда PT SWARM (наши эксперты, исследующие безопасность всевозможных систем и устройств) помогла устранить 100 уязвимостей нулевого дня в продуктах крупнейших мировых и отечественных производителей. При этом 75 найденных уязвимостей имели высокий или критический уровень опасности. Среди выявленных и закрытых уязвимостей: CVE-2024-43629 в Microsoft Windows, CVE-2024-7400 в антивирусе ESET Internet Security, опасная уязвимость в популярной системе для видеоконференций Yealink, уязвимость в системе мониторинга состояния IT-ресурсов Pandora FMS.
Всего за 2022–2024 годы исследователи Positive Technologies выявили 452 уязвимости 0-day. В подавляющем большинстве случаев для всех этих уязвимостей вендорами были выпущены пакеты обновлений. В целом от года к году тенденция положительная: за 2024 год стало на 30% больше репортов, которые закрываются в течение 60 дней; примерно на 30% уменьшилось количество вендоров, у которых на закрытие уязвимостей уходит более 90 дней.
В 2024 году наши специалисты обнаружили в российском ПО почти в три раза больше уязвимостей, чем в 2023-м. При этом 16% выявленных брешей имеют критический уровень опасности. Лидером в этом антирейтинге являются сайты под управлением CMS «1С-Битрикс». Доля уязвимых продуктов вендора за последний год выросла с 13% до 33%.
? Скорость патч-менеджмента увеличивается, а значит, злоумышленники будут еще активнее искать и использовать уязвимости нулевого дня, внимательно отслеживать сведения о свежих уязвимостях и создавать для них эксплойты. На фоне импортозамещения продолжит расти количество уязвимостей в отечественных продуктах.
2024–2025: какие уязвимости были и будут в тренде
На протяжении года мы знакомили вас с топом т.н. трендовых уязвимостей (читайте «с самыми опасными»), которые специалисты по кибербезопасности находили в решениях и сервисах каждый месяц. Что же в сумме мы получили за год?
Всего в 2024 году наши эксперты отнесли к трендовым более 70 уязвимостей. Они были обнаружены в операционных системах, прикладном программном обеспечении, системах для резервного копирования, сетевых устройствах и других продуктах.
Для 48 из 66 трендовых уязвимостей есть зафиксированные признаки эксплуатации в атаках злоумышленников, для 15 – публичные эксплойты, для 3 — только вероятность будущей эксплуатации.
Большая часть трендовых уязвимостей была связана с выполнением произвольного кода и команд (23), а также с повышением привилегий до максимальных (17).
Продуктов Microsoft касались 27 трендовых уязвимостей. Из них 14 — уязвимости повышения привилегий в ядре Windows и стандартных компонентах. Только одна уязвимость повышения привилегий касалась ядра Linux (CVE-2024-1086).
«Старый добрый» фишинг
Больше всего трендовых уязвимостей (16) злоумышленники использовали для фишинговых атак. Значительная часть уязвимостей (10) представляла угрозу сетевой безопасности организаций, уязвимости могли стать точками проникновения. Шесть трендовых уязвимостей позволили скомпрометировать виртуальную инфраструктуру и бэкапы организаций. Остальные касались обхода аутентификации и выполнения произвольного кода. Они позволяли скомпрометировать ПО, разрабатываемое в компании, а также могли использоваться в атаках на инструменты совместной работы.
? Пользователям Microsoft опять приготовиться. В 2025 году количество трендовых уязвимостей в продуктах Microsoft сохранится примерно на том же уровне (около 30 недостатков). В западных сетевых устройствах предполагается уменьшение количества трендовых уязвимостей, так как их влияние на отечественный ИТ-ландшафт снижается в связи с импортозамещением. Ожидается, что появится больше новостей о трендовых уязвимостях в отечественном ПО: его доля на рынке растет и есть много атакующих, заинтересованных в исследовании и эксплуатации недостатков безопасности в нем.
Хардварная безопасность, или Год «жизненных» уязвимостей
Событийно в направлении хардварной безопасности прошедший год может быть ознаменован как год уязвимостей, очень «жизненных» и сложно устранимых (а иногда и неустранимых вовсе), касающихся огромного числа пользователей. Некоторые недостатки безопасности имеют большое значение, так как были обнаружены уже по результатам реальных атак, а другие не были замечены в реальных атаках, но могли бы привести к существенным негативным последствиям. А еще найденные уязвимые места показывают очень высокую сложность современных атак, в то же время находятся люди, способные такие кибератаки совершать.
Топ событий года в тематике хардварных исследований
Обнаружение уязвимостей в GigaDevice GD32 экспертами Positive Technologies: используя эти недостатки, потенциальный злоумышленник может получить полный доступ к прошивке устройства.
Выявление уязвимостей в Qualcomm Adreno GPU: исследователи из Google Android Red Team обнаружили около 10 уязвимостей в Adreno GPU, которые позволяли добиться полного контроля над устройствами.
Операция «Триангуляция»: выявлена целевая кибератака высокой сложности на iOS-устройства с применением цепочки четырех уязвимостей нулевого дня. Возможно получить широкий доступ к содержимому и функциям устройств.
Обход ARM Memory Tagging Extension с помощью SCA: спекулятивная атака TIKTAG позволяет обойти защиту Google Chrome и ядра Linux и слить данные с вероятностью 95%.
Взлом контроллеров Apple Type-C: опубликовано исследование, в ходе которого эксперты подтвердили возможность получить прошивку новых контроллеров интерфейса Type-C Apple.
SCA-атака GoFetch на процессоры Apple М: найдена аппаратная уязвимость в процессорах Apple серии М, используемых в большинстве ноутбуков и настольных ПК, а также в ряде планшетов iPad.
Глобально ни бизнес, ни ИТ, ни кибербезопасность из-за этих уязвимостей не изменят направления своего пути. Тем не менее мы знаем, что есть вендоры, которые создавали устройства на уязвимых версиях чипов GD32. Теперь они планируют разрабатывать новые версии своих устройств с заменой микроконтроллеров на другие, не имеющие выявленных уязвимостей. Речь идет о сотнях тысяч устройств и, как следствие, о дополнительных вложениях в разработку. То есть вопрос заинтересованности вендоров в быстром устранении уязвимостей, связанный с финансированием этого процесса, остается открытым.
Стоит заметить, что почти ни одна из хардварных уязвимостей, информация о которых была разглашена в 2024 году, не была найдена в рамках программ багбаунти. Даже само количество производителей, заинтересованных в проверке устройств или чипов на уязвимости и выходящих для этого на багбаунти, все еще крайне мало. Тем не менее круг желающих растет, и их программы становятся более заметными в общем объеме багбаунти-проектов.
Защищенность устройств и плохая память вендоров
Почти во все новые микроконтроллеры, даже самого базового уровня, встраиваются технологии доверенного исполнения кода. И в перспективе это может затруднить потенциальный взлом и анализ большей части устройств. В то же время разработчики быстро все забывают и повторяют уже, казалось бы, пройденные ошибки. Например, недавно мы обнаружили, что новые SD-картридеры позволяют подключиться к внутренней шине PCI Express ноутбука с помощью очень простого эмулятора SD-карты. И снова, как и 10 лет назад, нашлась удобная точка входа для выполнения DMA-атак, о чем мы рассказывали в недавней статье.
Очень быстро растет количество подключенных устройств. Производители стараются захватить рынок и выпускают продукты со множеством уязвимостей или вообще не имеющие защиты. При этом не нужно забывать, что компрометация подключенного устройства несет риск компрометации всей инфраструктуры, так как оно является точкой входа и при некорректной настройке сетевой инфраструктуры может стать стартом для успешной атаки на предприятие. А еще многие подключенные устройства могут быть массово взломаны при компрометации инфраструктуры производителя, как это было, например, в этом году с сетевыми накопителями Synology.
Повышение стоимости хардварных атак
В embedded-разработку приходит много людей из прикладного программирования, чему способствует развитие современных средств разработки и фреймворков. Это влечет за собой потенциальные проблемы с быстродействием и безопасностью, так как в прошивке появляется большое количество кода из фреймворков и разрозненных библиотек. При этом код самой бизнес-логики в устройстве занимает единицы процентов от общего объема кода.
Мы видим, что все больше производителей начинают уделять внимание защите своих устройств от fault injection и side-channel-атак, появляются запросы на подобные исследования. То есть период 5–7 лет, когда оборудование для выполнения таких атак стало стоить относительно недорого и количество атак увеличилось, прошел — теперь очередь за стороной защиты. Ждем нового раунда противостояния и повышения стоимости подобных атак, делаем ставки на то, что устройства в массе своей станут более защищенными (это факт). При этом понятно, что истории их взломов будут очень штучными, которые мало кто из атакующих сможет себе позволить, так как это дорого и требует очень высокого уровня экспертизы.
Кибербезопасности в наступившем году вам желают:
